Newcastle University infected with DoppelPaymer Ransomware 영국의 연구 대학인 Newcastle University가 DoppelPaymer 랜섬웨어에 감염되었습니다. 이 사건에 대응하기 위해 8월 30일 시스템을 오프라인 상태로 전환하였습니다. Newcastle University는 감염된 랜섬웨어 제품군에 대한 정보를 공개하지는 않았지만, DoppelPaymer 랜섬웨어의 운영자들이 자신들이 범인이라고 밝혔습니다. 이들은 직접 운영하는 유출 사이트인 ‘Dopple Leaks’에 해당 대학에서 훔친 데이터 750KB를 게시했습니다. 해당 대학의 IT 직원은 공격 이후로 서비스가 다시 온라인 상태가 되기까지는 몇 주가 필요할 것이라 공지했습니다. Newcas..

국내외 보안동향 2020. 9. 9. 14:00

Chilean bank BancoEstado hit by REVil ransomware 칠레 최대 규모 은행 중 하나인 BancoEstado가 랜섬웨어 공격을 받아 지난 9월 7일부터 지점을 폐쇄했습니다. 이 랜섬웨어는 회사 서버 대부분과 워크스테이션을 암호화한 것으로 나타났습니다. 해당 공격은 주말 동안 발생했으며 은행은 트위터를 통해 BancoEstado 침해 사건이 종결되었다고 공지했습니다. 은행은 지난 일요일 트위터를 통해 공격 받은 사실을 밝혔으며 사건을 조사하고 시스템 복구를 위해 지점을 폐쇄하기로 결정했다고 밝혔습니다. “은행 지점은 운영되지 않을 것이며 오늘도 폐쇄된 상태를 유지할 것입니다.” 은행은 사건에 대한 조사를 시작하고 칠레 경찰에 이를 신고했습니다. 칠레의 사이버 보안 사고 대응..

국내외 보안동향 2020. 9. 8. 14:00

Iranian hackers attack exposed RDP servers to deploy Dharma ransomware 이란 출신인 것으로 보이는 초보 해커들이 러시아, 인도, 중국, 일본의 기업을 노리는 랜섬웨어 사업에 참여한 것으로 보입니다. 이들은 쉽게 찾아볼 수 있는 툴을 사용하여 공격이 쉬운 대상만을 노리고 있는 것으로 보입니다. 이 새로운 그룹은 Dharma 랜섬웨어를 배포하고 있었습니다. 포렌식 연구 결과 이 그룹은 그리 숙련된 기술을 사용하고 있지 않으며, 금전적 이득을 목적으로 사이버 범죄 판에 막 뛰어든 것으로 추측됩니다. 아마추어로 보이는 해커들 공격자들은 욕심이 그리 많지 않습니다. 이들은 랜섬머니로 1 ~ 5 비트코인 (현재 약 $11,700 ~ $59,000)을 요구하고 ..

국내외 보안동향 2020. 8. 25. 09:00

DarkSide: New targeted ransomware demands million dollar ransoms 이달 초부터 DarkSide라는 새로운 랜섬웨어가 공격을 수행하기 시작했습니다. DarkSide는 커스텀 공격을 통해 이미 수백 만 달러를 벌어들인 것으로 나타났습니다. 공격자들은 2020년 8월 10일부터 이 랜섬웨어를 통해 수 많은 기업을 노린 타깃 공격을 수행하기 시작했습니다. 공격자들은 “보도 자료”를 발표해 자신들이 다른 랜섬웨어와의 제휴를 통해 이미 수백 만 달러를 벌어들였다고 주장했습니다. 하지만 그들의 구미에 맞는 새로운 “제품”을 찾지 못하자 자체적으로 운영하기로 결정한 것으로 나타났습니다. “우리 제품은 시장에 막 출시된 새로운 것입니다. 하지만 그렇다고 경험 없이 갑자기..

국내외 보안동향 2020. 8. 24. 09:00

WannaRen ransomware author contacts security firm to share decryption key 올해 4월, 중국의 인터넷 사용자들을 공격한 대규모 랜섬웨어 사건이 있었습니다. WannaRen으로 알려진 이 랜섬웨어는 약 일주일 동안 일반 가정, 중국과 대만 현지 기업을 포함한 수 만명의 피해자를 감염시켰습니다. WannaRen은 2017년 5월 전 세계를 감염시켰던 WannaCry를 대충 모델링한 것으로 추측됩니다. WannaRen 랜섬웨어는 EternalBlue 익스플로잇을 감염 체인에 통합하여 파일을 암호화하기 전 아무런 제약 없이 기업 네트워크를 통해 확산되도록 했습니다. WannaCry와 마찬가지로 WannaRen 또한 산불처럼 급격히 확산되어 제작자의 예상보..

국내외 보안동향 2020. 8. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘WastedLocker’라 불리는 랜섬웨어는 기업을 대상으로 공격이 이루어지는 것으로 알려져 있습니다. 실제 지난달 7월 말 스마트워치와 웨어러블 기기 제조사인 가민(Gamin)이 랜섬웨어 공격을 받아 서비스 일부를 중단된 사례가 있습니다. 또한 이 랜섬웨어를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. [그림] 이메일 화면 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 파라미터를 통하여 기능을 구별하여 실행하고 NTFS의 ADS(Alternate Data Stream)을 이용하여 악성코..

악성코드 분석 리포트 2020. 8. 18. 09:00

Avaddon ransomware launches data leak site to extort victims Avaddon 랜섬웨어가 랜섬머니를 지불하지 않은 피해자로부터 훔친 데이터를 공개하는 공유 사이트를 오픈했습니다. Maze 운영자가 공개적으로 파일을 유출하기 시작한 이후로 다른 랜섬웨어들도 뒤따라 훔친 파일을 공유하는 데이터 유출 사이트를 생성하기 시작했습니다. 이 사이트는 피해자의 파일을 공개하겠다고 협박해 랜섬머니를 지불하도록 만들 목적으로 개설되었습니다. 이 데이터가 공개될 경우 재무 정보, 직원의 개인정보, 고객 데이터 노출로 이어질 수 있습니다. 사이버 보안 회사인 Kela는 Avaddon 랜섬웨어의 운영자가 이번 주말 러시아 해킹 포럼에서 새로운 데이터 유출 사이트를 개설했다고 알렸다..

국내외 보안동향 2020. 8. 11. 09:00

Garmin services and production go down after ransomware attack 스마트워치와 웨어러블 기기 제조사인 가민(Garmin)이 7월 23일 랜섬웨어 공격을 받아 서비스 일부를 중단했습니다. 이 공격으로 인해 내부 네트워크와 일부 생산 시스템이 암호화된 것으로 알려졌습니다. 가민은 공격의 여파를 처리하기 위해 공식 웹사이트, 가민 커넥트 사용자 데이터 동기화 서비스, 아시아 내 일부 생산 라인 운영을 중단하는 등 며칠간의 유지 보수 기간을 가질 계획입니다. 가민의 웹사이트 및 트위터 게시물에 따르면 이 사고가 콜센터에까지 영향을 미쳐 사용자의 전화, 이메일, 온라인 채팅 요청에 응답할 수 없는 상태라고 밝혔습니다. 달리기, 자전거 운행 관련 데이터를 가민 서버와 ..

국내외 보안동향 2020. 7. 24. 09:57